安达通特色技术.docx

1、安达通特色技术安达通VPN专有技术20010年4月目 录特色1：“单臂连接”技术 3特色2：“虚地址互连”技术 4特色3：“自动路由”技术 4特色4：“双边穿透”技术 6特色5：“链路均衡”技术 7特色6：“透明接入”技术 8特色7：“隧道接力”技术 8特色8：“硬软件平台”技术 9特色9：“客户端策略动态下载”技术 10特色10：“主机绑定”技术 10特色11：“双网隔离”技术（IPSec Only技术） 11特色1：“单臂连接”技术传统VPN设备在部署时，遇到与防火墙、路由器配合使用时，通常采用“串联”（即：接在防火墙、路由器与内网交换机之间）或“并联”方式（即：与防火墙、路由器并列部署）

2、接入原有网络。“串连”方式增加单点故障，并容易造成性能上的瓶颈；“并联”方式需要多个公网IP地址，并在客观上造成多个公网出口，带来安全隐患。针对这两种传统的VPN设备部署方式，安达通VPN安全网关则可采用一种非同寻常的部署方式：“单臂连接”。采用此种部署模式，能够在对用户环境最小改动的前提下部署VPN，极大提高了VPN设备对网络环境的适应能力。所谓“单臂连接”指的是安全网关只接一个口到内网交换机中，另外一个口不接线，即把安全网关设备当作一台服务器或主机，专门处理VPN报文的加解密。从实现技术上而言，单臂连接结合了上述串行连接和并行连接两者的特点，需要在防火墙（路由器）上为安全网关做静态端口映射

3、（静态NAPT），同时也需要在防火墙（路由器）上添加静态路由来解决要通过VPN的数据包正确流向的问题。结合自动路由技术，单臂连接方式能在对用户环境最小改动的前提下部署VPN，大大增加了VPN设备对网络环境的适应能力 。单臂连接实际案例配置示意图如下所示：示例中总部局域网利用一台防火墙通过光纤接入互联网，防火墙外口IP地址为218.1.1.1，内口IP地址为192.168.1.1，现仅将安全网关的LAN口接到内网交换机。安全网关工作在路由模式下，LAN口IP地址192.168.1.254，WAN口任意设置一个IP地址，比如为1.1.1.1，总部内网只有一个子网192.168.1.0/24。该单位

4、有一异地分部，采用ADSL接入互联网，并使用SGW25A安全网关作为接入设备，内网也只有一个子网为192.168.2.0/24。通过这样的部署，可实现该分部与总部子网的VPN互连。同时还可实现移动客户端的远程接入（如上图），客户端的私有IP地址为172.16.1.1-10。本示例中采用“单臂连接”技术部署安达通VPN安全网关，几乎不用改动用户原有的网络拓扑，实施过程对用户无任何影响；而且没有在用户主干线路上串接设备，不会造成额外的单点故障而降低线路可靠性。特色2：“虚地址互连”技术众所周知，构建VPN网络时，需要通信双方局域网的IP地址统一规划，错开网段；如果发生VPN双方内网IP网段相同或重

5、叠等冲突情况，传统的VPN设备就无法部署。只有要求用户修改其中一方的IP地址来解决。这种做法本无可厚非，但是如果用户网络规模较大或用户的计算机水平较低时，就会带来相当大的工作量，因此它成为很多VPN工程实施人员非常头痛的事情。上海安达通公司凭借雄厚的技术实力，独创了虚地址互连技术，一举解决该问题，并在大量的VPN实施案例中（如：浙江石化全省加油站IC卡加油VPN互联项目）得到了充分验证。虚地址互连技术是指设备在对IP报文加密封装之前先做一次地址转换，从而屏蔽内网通信的真实私网IP地址。在地址冲突的情况下，在VPN通信的一方实施虚地址变换，先把与对方冲突的IP转换成自己规划的一段虚拟IP地址，再

6、进行VPN隧道封装，用新规划的虚拟IP地址去访问对方的子网，这样就实现了在地址冲突环境下的VPN互联，用户PC的实际IP地址也就不需要进行改变了。在虚地址互连技术中，虚拟IP地址规划就尤为重要，要规划一段与整个VPN体系中都不冲突的IP作为虚拟IP地址，虚拟IP地址通常采用私网IP。在实际操作中，虚地址互连技术又通常分为两种，即“动态虚地址互连技术”和“静态虚地址互连技术”。“动态虚地址互连技术”通常把一段IP地址转换成一个IP地址，只能实现单向的数据访问，即做虚地址变换的一方单向访问对方；而“静态虚地址互连技术”把原来的IP地址与虚拟IP地址之间建立一一的对应关系，能实现双向的访问，但在未实

7、施虚地址变换的一方必须用虚拟IP地址访问对方的主机。一个总部局域网和分部局域网IP地址冲突，用虚地址互连技术来实现互联的示意图如下所示：如图所示，在分部的ADT安全网关上实施了虚地址变换，将与总部冲突的192.168.1.0网段转换成虚拟地址20.20.1.0网段，进而进行VPN互联，从而用该虚拟地址去访问总部子网。特色3：“自动路由”技术用VPN设备建立网对网形式的VPN网络时，为了保证双方子网之间能够通过VPN隧道通信，通常的一个前提条件是，需要双方子网的缺省路由都指向VPN设备的内网口；如果是内网有多个网段的情况，则需要在内网的三层交换机或各路由器上添加到对端VPN网络的静态路由，即到对

8、端VPN网络的IP数据包都转发到VPN设备的内网口。这样才能保证从本地子网到VPN对端的数据包能被VPN设备正确的加密封装并发送。组建VPN网络时内网路由指向如下图所示：上述的这些要求在某些用户环境下部署VPN时会带来相当大的影响，比如客户端接入一个相当大而且复杂的专网内部，如果使用传统的部署办法，则需要在内部专网的每个路由器和三层交换机上都添加静态路由；如果内部采用动态路由协议，则需要做静态发布，对用户原有的内网系统影响较大，且配合工作相当繁琐且复杂，极容易因为部署VPN而造成其他相关问题。为了避免因为部署VPN带来这些副作用，使得用户能够快速轻松的部署VPN，安达通公司开发了独创的“自动路

9、由技术”，彻底解决了上述的问题。“自动路由技术”的基本原理是VPN设备收到对端设备（或客户端软件）发过来的密文后，在执行解密操作后在做一次地址转换，将对端的私网IP地址转换成本地内网的IP（通常是安全网关LAN口IP），在转换后再发送报文，用转换后的本地内网IP与本地子网内的主机或与本地子网相连的其他私网进行通信，而返回的报文则恰好相反，先做NAT反变换后在进行VPN加密和封装。通过该技术，从IP上来看，使得VPN不同子网之间的通信实际上变成了本地内网之间的通信，从而无需改变任何内网路由的配置，因为内网之间在没有部署VPN之前本身就是可以互通的。采用该技术，由于NAT变换是在解密后实施的，因此

10、通常在单向访问的VPN网络中（只是一端发起访问，比如移动客户端访问专网）使用该技术，且在被访问端的VPN网关上配置相应的策略。那在需双向访问的VPN网络中能否使用“自动路由技术”呢？答案是肯定的，在需双向访问的VPN中，实施“先做VPN再做静态NAT”，即要将对端VPN网络的内网主机IP静态一一映射成本地的内网地址，前提是本地内网要有足够多的未使用的IP地址分配给对端的VPN主机。采用该技术VPN联网成功后，实施双向访问时，本地子网访问对端子网时需要用一一映射后的本地内网地址，也就是访问本地子网地址实际上访问的是对端VPN子网的内网主机。以一个安徽某电力公司移动办公的案例为例，在接入的VPN网

11、关上实施“自动路由技术”，无需在电力内网的路由器和三层交换机上添加静态路由，如下图所示：特色4：“双边穿透”技术目前的各种VPN通讯一般都要求通讯的中心节点具有真实的IP地址，分支机构的网关或客户端不一定要有真实IP。而如果通讯的中心节点没有真实的IP地址，就无法实施该环境下的VPN设备互联。主要原因是发起通信的VPN设备由于无法确定被连接VPN设备的IP地址和协商端口号，以及IKE和IPSec协议和传统的NAT协议不兼容等问题，导致了无法建立加密通信隧道。上海安达通信息安全技术有限公司经过长期的攻关，提出了“智能中转及快速直通”的方法（即：“双向穿透”或“双向NAT穿透”），成功地解决了这一

12、难题。其主要原理如下：由于通信双方处在不同的私有网络，双方的IP地址寻径只在本地有效，因此解决NAT穿透虚拟专网的前提是如何解决虚拟专网的寻径问题。当安全节点（安全网关或者安全客户端）处于私网内部的时候，安全节点一旦接入互联网，就自动注册信息。注册信息包含，安全节点保护的网络或主机，以及安全节点所属的虚拟专网的ID号，安全节点在虚拟专网的IP地址，安全节点在INTERNET网络上的相关信息。如果安全节点是公网接入，则相关信息包含安全节点在公网上的IP地址，如果安全节点是私网接入，则相关信息包含安全节点在公网上的地址转换信息IP地址和映射的端口信息。信息注册的中心点就是部署在公网上的“VPN快速

13、转发器”。以下图为例：员工出差在外，如：通过酒店的局域网接入internet，需要访问公司的服务器的信息资源。具体的通信过程如下：1 安达通安全网关和移动用户（使用“安全客户端”软件）连入Internet后，会自动在VPN快速转发器上，向自己所在的域（预先由网管员分配）登记各自的网络信息。VPN快速转发器和每一个通讯节点都有预共享密钥，验证身份并加密通讯信息，确保两者间的通信安全。2 当要进行VPN通讯时，发起方通知VPN快速转发器，并且从其上得到对方的动态路由信息，获得当前对端正确的地址和端口进行封装处理。3 VPN快速转发器为通讯双方生成临时的会话密钥，并且为两者生成各自的virtual

14、IP，以后所有的密钥交换和IPSec的验证、加密都是以这个Virtual IP为基础，这样就从根本上避免了经过NAT/Firewall转换所发生的问题。4 通讯双方进行IKE密钥交换。建立了以virtual IP为基础的VPN隧道，从而实现双向NAT穿透。基于此领先技术我公司研制的VPN安全网关和客户端能够在任意保留IP地址间实施VPN连网，特别适合中国的城域宽带网现状。特色5：“链路均衡”技术上海安达通信息安全技术有限公司2005年8月份推出的SJW74负载均衡安全网关系列，具备独特的“VPN多链路均衡”技术。SJW74型负载均衡安全网关不仅是集“VPN、防火墙、IDS微引擎和病毒过滤引擎”

15、于一体的综合安全网关设备，具备安达通公司SGW25系列安全网关的全部功能，而且具备独特的“多链路均衡”和“VPN隧道多点接入”的能力。SJW74系列4个型号产品分别针对中小型企业和大型、超大型企业。可根据用户对性能的需求不同进行选择。所谓“多链路均衡”就是利用多条上网线路，实现内网PC上网的负载均衡。右图中，某企业采用1M和2M ADSL上网，这两个上网线路分别接在SJW74B型安全网关的WAN1和WAN2口上（共有4个网口，最多可定义3个WAN口），网关的LAN口接进企业的内网交换机，企业内网PC的缺省网关都指向网关的LAN口。这样通过对SJW74安全网关的配置，我们可以让上网流量按照1:2

16、的比例分别从WAN1和WAN2口进出，这样对于企业内网的互联网总出口带宽就扩展为3M。我们还可以指定对某些网站的访问走固定的线路。如：访问sina的流量，都通过WAN2的线路进出。这种情况对于采用不同运营商线路的用户很有效，如：2条线1条是电信的，1条是中国移动的，那么如果上中国移动的互联星空网站，我们可以指定这些流量都走移动的线路，这样速度会快些。反之，也可以指定内网中特定的PC走指定的线路上网。另外，如果启用了“线路故障侦测功能”，当线路发生故障时，SJW74均衡网关会自动将该线路的流量重定向到其他畅通的外网线路上，在用户感知不到的情况下继续保持网络畅通。SJW74安全网关还具有“VPN隧

17、道多点接入”的功能。所谓“VPN隧道多点接入”就是通过对移动用户或对等网关的VPN通讯策略的设置（可以预先写在移动用户的USB KEY中或从网关上动态下载），移动用户或远端网关可以同时从不同的WAN口通过VPN隧道接入到企业的内网。如上图，移动用户既可以通过1M的ADSL线路（WAN1口），也可以选择通过2M的ADSL线路（WAN2口）接入到内网中访问内部的服务器。这种特性对于一些分支机构遍布全国的大企业特别适用。主要因为中国电信运营商两大阵营：南电信、北网通，分别在中国南方和北方的网络基础设施比较好，这样这些企业的总部可以分别租用电信和网通2条线路，让北方的分支机构通过网通的线路形成VPN隧

18、道接入总部，而南方的分支则通过电信的口子进来，这样整个网络速度都能够比较有效的得到保证，为应用系统的顺利运行奠定了基础。另外，不同的外网接入端点又能够互为备份：如果一条出现故障，我们可以切换到另外的端点，通过VPN隧道从该端点接入到企业内网。特色6：“透明接入”技术安达通安全网关均支持：路由工作模式、透明工作模式和混合工作模式。在“透明模式”（桥模式）下的VPN网关设备，VPN设备就像加入一段网线，添加到用户网络中时完全不用修改原有网络中设备（包括终端设备）的配置。对用户而言，VPN设备就象完全不存在一样，所以叫做“透明”模式。而且，安达通的VPN网关在支持透明工作模式的同时，能建立标准的IP

19、SEC隧道，实现网络通信数据的“安全性、完整性和不可抵赖性”。目前，支持透明模式的VPN网关较少，具备该功能的设备，特别适合在“先有网，后添加VPN设备”的环境中使用。安达通安全网关的透明模式功能保证信息流能在链路层透明转发，不仅支持传统的以太网络环境而且支持VLAN网络环境的透明工作模式。与路由模式的转发不同，透明模式的转发必须保留信息流的数据链路层协议的相关数据（例如，对于以太网协议需要原始的源/目的MAC地址和TTL，对于交换机的TRUNK协议要保留TRUNK协议的相关数据）。对于通过透明模式的网关进行通信的两台主机来说，网关是不可见的。透明模式功能实现主要有下面三个处理部分： 链路层协

20、议的学习功能网关通过接收的分组，学习每个端口所连网络的相关二层协议信息，并维护一个二层信息的动态表，为分组转发提供相关信息。 报文的接收可以通过将网口设置为混杂模式收到所有的报文，其中根据包文的源MAC地址和接收接口来标志网关的某个接口和那些主机处于同一个物理连接，如果把这个操作嵌入在网关的接收报文函数中，就能够实现动态获取接口-主机对照信息。这些信息将用来判断某个报文从哪个接口发送出去，而不是对于每个报文均在所有接口上复制转发一份拷贝。 报文的转发对于透明模式下收到的报文，根据其目的MAC地址可以分为如下几类：发往网关自身的报文、广播报文和发往其他的报文，由于针对每一类情况，网关将采取不同的

21、策略。以某市商业银行网络的VPN安全网关部署为例。该案例中，所有的安达通安全网关均工作在“透明”模式下。安装这些安全网关设备的前后，原有网络系统平滑升级，路由器、PC、Server等没有调整过任何配置，在不知不觉中实现了各分行和总行之间数据传输加密。特色7：“隧道接力”技术通常建立一个VPN网络，我们会采用这样的通讯策略：让需要通讯的节点之间两两直接建立隧道。这样，对于一个节点较多并且需要“网状”组网时（节点之间两两互通），每个VPN安全网关内部的策略配置是相当复杂的。例如：组建一个具有n个节点的VPN全通网络，采用传统的“点点”隧道建立方法，每个节点都需要和其他所有设备（n-1个节点）建立v

22、pn隧道，这也意味着每个网关内部都需要配置和所有对方通讯的n-1条vpn通讯策略，全网就会有n(n-1)条VPN策略要设置。如果有20个节点，全网的VPN通讯策略（分别配置在每个网关或者VPN客户端里面）总数就会多达380条。对于网管员而言，这简直就是一个恶梦！针对这种情况，上海安达通信息安全技术有限公司推出了“隧道接力”技术，有效地解决了网状拓扑VPN互通问题。其核心思想是：在网状VPN拓扑中，确定一个或几个“隧道会聚”的中心节点，各个分支节点都和中心节点建立VPN隧道，再通过中心节点的VPN安全网关实现数据转发，将分支节点间的通讯数据转发到正确的路径中去。这就是安达通安全网关所具备的独特的

23、“隧道接力”功能。另外，当各VPN节点为动态IP地址或在NAT后（私网地址）时，VPN节点间直接建立隧道需借助地址服务器或策略服务器。采用“隧道接力”技术不仅可简化了每个网关上配置的VPN策略，而且也不会受到分支节点是否是动态IP地址或是私网地址的限制，能快速、低成本的建立网状VPN拓扑。通过该技术，还可以实现VPN客户端之间的互通。当然，该技术的采用，隧道接力的中心节点将承受较大的数据转发压力，所以要求： “隧道会聚”中心节点的接入带宽应当比较宽，不会成为全网数据转发的瓶颈。下图是福建某超市的实际应用案例。该案例中，要实现各个超市的互通。如：超市1和超市n之间传递数据，就是通过超市1和总部建

24、立的隧道和超市n和总部建立的隧道进行接力，实现互通。这样每个超市的安全网关内部都只有一条和总部的VPN通讯策略，整个网络管理起来就非常简单明了了！特色8：“硬软件平台”技术当前网络安全厂商的硬件平台大多采用基于Pentium CPU为核心的工控机作为网络安全产品的硬件平台（如：Firewall，VPN，IDS厂商等），而ADT安全网关系列产品（如：ADT安全网关）普遍采用基于PowerPC的嵌入式系统作为硬件平台，具有如下优势：1 极低功耗，可靠性很高。嵌入式硬件平台采用的都是高性能的嵌入式CPU，集成度非常高，而且没有多余的外围设备，因此硬件故障的概率显著降低。另外，ADT安全网关的嵌入式平

25、台都采用低功耗设计，整个平台的发热量非常低，如：SGW25A和SGW25B的功耗都仅约2.5W，SGW25A Lite则更低。低发热量带来的好处就是系统运行稳定，而且无需采用风扇和相关冷却机构。相比之下，工控机中只要有一个风扇不能工作就会导致系统的瘫痪，而一个电源滤波电容的损坏就可能使系统无法正常工作。2 启动速度快（如：SGW25B Pro启动完毕的时间为：8S）。嵌入式系统的启动速度非常迅速，一般在45秒之内就可以加载整个VPN或Firewall系统。相比之下，工控机的启动速度就非常慢了，整个系统加载完毕，通常要23分钟。3 可持续生产能力强。嵌入式系统采用的芯片都可以长期供货，现在采用的

26、器件几年以后仍旧可以采购。这样，既便硬件设计有缺陷，在下一个版本中通过局部的修正就可以彻底解决，几年之内就会得到一个非常完美的系统。而工控机就不同了，每个季度都在变，原来调试好的系统很快就要更换，每个系统必须重新测试。而作为安全基础的软件平台，ADT安全网关（SGW25系列和SJW74系列）均采用实时操作系统：VXWORKS。作为网络安全产品的基础，操作系统及其重要，是系统安全的基石。VXWORKS主要用于通讯系统，为广大通讯厂商所采用（如：华为、中兴、贝尔等），该OS最初为美国军方产品，在军队中大量采用，设计的出发点就是精简（如：ADT安全网关内核含OS仅约2MB）、安全、高效，不留任何安全

27、隐患。该OS对各种病毒具有天然抵御力，目前还没有被感染过的记录。而业界普遍采用的Linux或Free BSD操作系统，由于开源免费，通晓的人很多，很多漏洞为大家所共知，很多攻击工具和病毒也专门针对该系统。该系统作为安全产品的操作系统，风险不言而喻。特色9：“客户端策略动态下载”技术传统的VPN客户端部署方式是预先生成好VPN客户端策略文件，将其存储在USB KEY中或直接以文件方式发放给移动用户；移动用户使用USB KEY配合VPN客户端软件即可连通远端的VPN网关。当网络部署或IP地址发生变化时，就要将USB KEY收回或原有的配置文件作废，重新制作，非常麻烦！安达通安全客户端系统支持多种V

28、PN通讯策略获取方式：1）从SureID(和安全客户端软件配套的USB KEY)中获取；SureID是由网络管理员事先做好，分发给用户的；2）从本地的VPN通讯策略文件（*.adt）中读取；该文件也是由网络管理员事先做好，分发给用户的；3）采用SSL协议从远端安全网关上动态地下载VPN通讯策略。上述方式3），VPN客户端每次远程连接安全网关都是通过SSL协议动态下载VPN通讯策略的。这样，如果安全网关修改了设置（如：IP地址、VPN加密算法、预共享密钥等）就不用象采用1）、2）方式那样要回收SureID或更新用户处的策略文件；而能够在用户完全不知道的情况下，完成这些变化，并丝毫不影响用户原来的

29、使用方式，极大地方便了系统的管理。采用这种技术制作VPN客户端，只需要在网关配置软件SureConsole中，选择所谓的“V2”方式制作SureID或VPN通讯策略文件（*.adt）即可。如下图：特色10：“主机绑定”技术VPN安全客户端与SureID配合使用，可以和安装客户端软件的主机系统实现硬件绑定。更为重要的是，对安全客户端主机绑定功能的开关，完全在VPN安全网关上集中进行控制。一旦开启了客户端主机绑定功能，该SureID将只能在该功能开启时的PC上使用。安全网关在安全客户端接入时，会判读客户端软件上传的主机特征信息哈希码，并将其与网关上保存的历史值进行比对，只有比对一致时才允许安全客户

30、端系统继续和安全网关协商VPN隧道。基于此功能，安全网关不仅能够依据SureID以及其中存储的预共享密钥或数字证书来验证移动用户的身份，而且可以将使用安全客户端软件的主机系统也作为移动用户接入身份验证的标识之一，加强了身份验证功能。如果要开启该功能，只需要在安全网关配置软件（SureConsole）的“客户组”项目中“添加客户组”中开启“机器码绑定”选项（如下图中所示）即可。特色11：“双网隔离”技术（IPSec Only技术）“双网隔离”技术（即：IPSec Only技术）是针对这样的用户需求而设计的：就是当VPN客户端用户在使用安全客户端软件和远端的VPN安全网关建立起加密隧道后，只能通过VPN隧道访问内部网络的信息资源（即：只能访问intranet），而不能访问外网（即：internet网）。通过这种方式，实现“内联网intranet”和“互联网internet”的逻辑隔离，这样当用户在使用企业内部应用系统时，就和internet网络“逻辑”上断开了，大大减少了被病毒侵害和木马程序窃听的风险，尤其是避免了很多在线攻击程序通过VPN隧道从分支机构向总部发起攻击。值得一提的是，对客户端的该功能的开启或关闭，可以在接入的VPN安全网关上集中进行控制，见上图。只要选中“IPSec Only”选项即开启了该功能。